home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / protocol / kerberos / 876 < prev    next >
Encoding:
Text File  |  1992-11-20  |  2.0 KB  |  45 lines
  1. Newsgroups: comp.protocols.kerberos
  2. Path: sparky!uunet!stanford.edu!is.morgan.com!bhoward
  3. From: bhoward@is.morgan.com (Bruce Howard)
  4. Subject: Re: Getting new principal key
  5. Message-ID: <9211201711.AA22072@is1.is.morgan.com>
  6. Sender: news@shelby.stanford.edu (USENET News System)
  7. Organization: Internet-USENET Gateway at Stanford University
  8. References: <rcb.722201703@news.ncsu.edu>
  9. Date: Fri, 20 Nov 1992 17:11:09 GMT
  10. Lines: 33
  11.  
  12. > For various reasons, I need to perform the following sequence of operations:
  14. > 1. Run kinit (or equivalent) on machine A
  15. > 2. Run telnet/rlogin/rsh like utility on machine A
  16. >     2a. utility contacts machine B
  17. >     2b. server on machine B authenticates user from A
  18. >     2c. server on machine B creates new ticket file for user on B
  19. >     2d. server on machine B runs desired command under user's environment.
  20. > 3. server on machine B removes tickets and cleans up in general after
  21. >    command has completed
  23. > The problem I have is that I can't figure out how to do step 2c. 
  24. > For example, if the command passed to B is "klist", it should list just the
  25. > krbtgt ticket for that user. The V4 rsh/etc. tools will not do step 2c
  28. > The reason I want to do this is to allow the command run on machine B to 
  29. > run as the user and get tickets of it's own for other operations. I just
  30. > need some way to propigate the krbtgt ticket.
  31.  
  32. the user on "a" wants to allow some service or entity on "b" to acquire
  33. a tgt for the user.  "a" mutually authenticates with some service on
  34. "b", establishing a session key with "b".  the service on "b" can
  35. request a tgt for the user and pass the response back to "a" for
  36. decryption.  "a" decrypts the tgt, reencrypts it with the session key
  37. it shares with "b" and sends back to result to "b" who proceeds to then
  38. use it.  since you probably don't want the user on "a" to type in their
  39. password twice, you would probably hack kinit to first acquire the tgt
  40. for the user on "a" and then reuse that password to decrypt the tgt
  41. on behalf of the service on "b".
  42.  
  43.                     cheers,
  44.                     bruce
  45.